校園網，是建設一個功能能完整覆蓋到輔助教學、遠程教育、信息化行政管理的完整體系。因此，系統的總體設計目標是如何能提供科學、有效的組織、整合這些部件的方法和手段，來保證形成完整的網上教育體系。其建設的核心需求，將是由一整套集硬件、軟件和運營保障體系組成的完整解決方案。隨著信息技術的不斷發展，包括教學多媒體班班通教室、網絡教室、錄播教室、翻轉課堂等的普及，教育網絡的建設已經不能只是滿足于為教職工提供網絡服務，而是要轉向為課堂教學服務。根據信息技術的發展，校園網系統建設應采用“多網合一”部署模式：建有連接學校辦公區、教學區、生活區“多網合一”(校園網絡整合了數據網、校園電視、廣播系統、監控系統、無線網等)的具有三層結構的功能完善的校園網絡，并與城域網平臺互通。學校中心機房設備齊全，能獨立支撐學校的教育教學、管理、科研、后勤服務等各種應用的建設模式。

　　多網合一模式網絡拓撲示意圖：

　　中心機房的建設

　　作為校園網中心機房，需要滿足如下四個方面：

　　具有較高的可靠性保障，能夠滿足全天候的業務運行要求;

　　具有較高的穩定性保障;

　　具有良好的升級擴展能力;

　　符合國家相關政策要求，有節能減排功能。

　　1、機房布置規劃

       1)平面規劃(詳細的規劃圖紙在實勘后繪制)按主機房服務器、網絡機柜規劃數位;按主機房設備供配電根據設備用電負荷;按主機房規劃相應制冷量的機房空調;消防管理系統對機房消防系統進行管理。

　　2)空間規劃(詳細的規劃圖紙在實勘后繪制)采用雙層走線網格橋架，上層強電線纜，下層弱電線纜;由于采用上走線形式故設備機房內不吊頂;機房地面防靜電地板，墻面頂面采用防塵漆及防火涂料;機房內空調氣流地板下送風;將門窗封閉;為機房預留2道門供設備和人員進出;照明燈具為符合國家相關規范要求的LED照明;采用機房監控系統對整個機房的供電、UPS、空調、溫度、濕度、煙感、消防 、蓄電池、門禁、視頻等做監控;做相應的配電室、控制室、測試室的劃分;機房采用網門機柜預留足夠的維護空間。

　　機房布置示意圖如下：

　　2、裝飾系統

　　機房裝飾裝修系統主要包括機房內頂面、地面、墻面、門窗等部位的內裝修，為機房設備系統的安全、可靠、正常運行、延長使用壽命提供合適穩定的環境，同時為工作人員創造一個舒適、典雅、環保的工作環境。在設計上充分根據本項目的功能需要，利用現在可利用平面進行平面布局劃分、從整體效果、裝修風格上都力求在經濟容許范圍內達到最佳效果。裝修風格以白色為主色調，遵循“簡潔、大方、高雅”的風格。

　　裝飾系統特點：

　　機房裝飾裝修同其他功能區的裝飾裝修有較大不同，它不僅需要考慮美觀,還需要適應IT設備對運行環境的要求，需要與其他機房工程相配合，要能滿足機房防火、防水、防塵、防靜電、隔熱保溫、消聲、減震等具體要求。

　　裝飾防火

　　機房對防火要求很高，要求裝修材料從材質選擇上必須符合相關規范要求。根據《建筑內部裝飾設計防火規范》要求，機房的頂棚及墻面應選用A級不燃材料，地面及其他區域應采用不低于B1級的難燃或不燃材料。

　　防水處理

　　因為機房內存在大量的帶電運行設備，水患是威脅機房正常運行的潛在危險。機房設計時，首先應避免與機房無關的水管途徑機房區域，其次，對不可避免需要經過主機房的水管(如加濕管、冷凍水管)，應采取必要的防水措施。

　　常見的防水措施包括在可能產生積水的部位設置適當高度的擋水壩，并在擋水壩內設置地漏，以防發生水患及時排水;對水管做好保溫措施，防止結露;配置漏水報警系統等。

　　裝飾防塵

　　機房對空氣含塵量有較高要求，裝飾材料應盡量選擇不起塵的材料，在地面應做防塵處理。

　　隔熱保溫

　　機房內溫度變化不大,和室外溫度相比，可能存在較大溫差。如果機房不做保溫,會造成機房區域與外界面產生結露現象,特別是由于結露影響機房區域下層的建筑區域，另外，夏季室外溫度過高時，通過熱傳導，會使空調負荷加大，造成能源浪費。

　　由于大多數機房采用地板下送風，常用的保溫措施是采用橡塑保溫板在活動地板下做一層保溫處理。

　　消聲措施

　　機房IT設備及通風、空調設備在運行時都會產生較大噪音，如設備噪音過大，安裝設備時應注意安裝減振彈簧或橡皮墊;如采用風管送風，應合理設計及調節風速;如空調噪音過大，可單獨設置空調房，物理隔離。

　　抗震措施

　　機房所有設備機柜均用鋼支架固定安裝，鋼支架再固定在樓板上。這種措施能在一定范圍內防止地震時建筑物搖晃造成設備機柜側翻、移位等現象。

　　3、空調系統

　　機房空調是針對現代電子設備機房設計的專用空調，它的工作精度和可靠性都要比普通空調高得多。要提高電子設備使用的穩定及可靠性，需將環境的溫度濕度嚴格控制在特定范圍。機房空調可將機房溫度及相對濕度控制于正負1攝氏度，從而大大提高了設備的壽命及可靠性。

　　機房空調機廣泛適用于計算機機房、程控交換機機房、衛星移動通訊站、大型醫療設備室、實驗室、測試室、精密電子儀器生產車間等高精密環境，這樣的環境對空氣的溫度、濕度、潔凈度、氣流分布等各項指標有很高的要求，必須由每年365天、每天24 小時安全可靠運行的專用機房空調設備來保障。

　　本次使用的單臺空調具體制冷量將按機房面積及設備總量進行計算配置。

　　4、氣體消防系統

　　氣體滅火系統主要用在不適于設置水滅火系統等其他滅火系統的環境中，比如計算機機房、重要的圖書館檔案館、移動通信基站(房)、UPS室、電池室、一般的柴油發電機房等。

　　氣體滅火系統是指平時滅火劑以液體、液化氣體或氣體狀態存貯于壓力容器內，滅火時以氣體(包括蒸汽、氣霧)狀態噴射作為滅火介質的滅火系統。并能在防護區空間內形成各方向均一的氣體濃度，而且至少能保持該滅火濃度達到規范規定的浸漬時間，實現撲滅該防護區的空間、立體火災。

　　機房應為獨立的氣消防護分區，機房的外墻應采用非燃燒材料。進出機房區域的門應采用防火門或防火卷簾。

　　在國內,機房常采用氣體滅火系統,防護區宜以固定的單個封閉空間劃分;當同一區間的吊頂和地板下需同時保護時，可合為一個防護區。

　　1)火災探測系統

　　火災探測器是火災自動報警系統中具有早期探測火災信號功能的關鍵部件，火災探測器是將火災發生的參量煙、熱、光做出有效響應，并轉換成電信號，向火災報警控制器發送信號報警的一種自動火災探測裝置。

　　2)自動滅火系統

　　自動滅火系統可根據滅火介質分為氣體滅火和水滅火。

　　氣體滅火根據結構特點又可分為管網滅火系統和預制滅火系統(無管網滅火系統)。其中，管網滅火系統適合于防護區多、防護區面積大，新建的機房;預制滅火系統適合于防護區少、防護區面積小，需改建的機房。

　　《電子信息系統機房設計規范》GB50174中規定，A級機房應設置潔凈氣體滅火系統;A級(非主機房)及B級機房宜設置潔凈氣體滅火系統，也可設置高壓細水霧滅火系統。

　　針對本項目實際情況，本次氣體消防設計如下：

　　防護區：主機房全面積報警系統：采用溫感和煙感兩種探測器。

　　氣體滅火系統：有管網滅火系統，配置FM200(七氟丙烷藥劑)，藥劑量按照最大防護區域(主機房全面積)配置;

　　5、綜合布線系統

　　本項目為機房綜合布線系統，主要是布放機房到其他區域的線路，采用室內千兆多模光纜和六類非屏蔽銅纜產品，包括LAN數據網絡、SAN儲存網絡及KVM管理網絡。

　　水平系統線纜選擇及敷設

　　1) 水平系統線纜選擇

　　銅纜系統水平線纜選擇六類非屏蔽產品，光纜系統水平線纜選擇室內千兆多模光纖系統。

　　2) 水平系統線纜敷設

　　調度機房內的水平線纜均沿上走線橋架進行敷設。

　　在網格橋架內敷設的水平線纜采用固線器進行固定安裝或采用尼龍扎帶進行捆扎放置。

　　3) 上走線橋架的選擇

　　應用在數據中心的上走線橋架樣式較多，但目前行業常用的還是以網格橋架為主。對于光纖信息點較多的數據中心機房，一般宜為光纖線纜單獨配置光纖線槽，但相對成本較高，本工程，從經濟適用角度考慮，暫不考慮配置光纖線槽，系統光纜與銅纜均沿網格橋架內敷設。

　　6、視頻監控系統

　　在機房各處分別安裝一定數量的攝像機，進行錄像管理。

　　選用的嵌入式NVR。所有視頻文件采用MPEG-4或H.264格式壓縮后通過流媒體格式進行傳輸，保證監控、錄像、回放、傳輸能同步進行。系統允許用戶根據網絡狀況隨時更改視頻數據的傳輸參數，如幀數、分辨率等。

　　通過在機房各重要場所安裝攝像機，管理人員可在值班室監控系統的運行界面中查看到機房各處的人員活動情況，監控畫面清晰、連續。一旦發生報警事件，系統將自動切換到相應的監控畫面，并且該監控畫面的邊框將變色閃爍。同時，按照管理人員預先設定好的報警方式(如語音報警、固定電話報警、手機短信報警等)進行報警。所有的視頻監控信息和報警信息還可以通過網絡上傳到遠程的WEB瀏覽站中，領導或管理員通過該WEB瀏覽站可實時查看到機房中的整體運行狀況，并對各種報警信息作出統一處理。

　　7、防盜報警系統

　　考慮到機房設備的安全和重要性，在機房的入口區域安裝1個紅外探測器和1個8路隔離數字量輸入模塊用于防盜報警監測。紅外探頭提供干接點信號，通過8路隔離數字量輸入模塊采集干接點信號，通過8路隔離數字量輸入模塊將報警信號發送到嵌入式服務器中，監控系統在第一時間通過預設方式(如現場語音、短信等)向管理人員發出報警。

　　防盜報警系統可與其它子系統進行聯動，當紅外探測器探測到有人員活動自動聯動照明系統打開燈光、自動聯動相應位置的攝像機進行錄像等。

　　8、門禁系統

　　為了使機房設備的安全和重要性得以保障，在機房的入口門、設備間入口門等處安裝門禁，工作人員憑ID卡或指紋刷卡進出。

　　門禁系統在滿足用戶提出的對系統功能、設備數量和性能指標的條件下，應充分發揮智能門禁管理系統的集成化程度高、設備配置靈活以及大冗余性的優勢，集中體現系統設計的合理性、可靠性、技術先進性、擴展潛力、實用性、兼容性。

　　有線網絡建設1、網絡總體設計1)網絡架構分析

　　現代網絡結構化布線工程中多采用星型結構，主要用于同一樓層，由各個房間的計算機間用交換機連接產生的，它具有施工簡單，擴展性高，成本低和可管理性好等優點;而校園網在分層布線主要采用樹型結構;每個房間的計算機連接到本層的集線器或交換機，然后每層的集線器或交換機在連接到本樓出口的交換機或路由器，各個樓的交換機或路由器再連接到校園網的通信網中，由此構成了校園網的拓補結構

　　校園網采用星形的網絡拓撲結構，骨干網為1000M速率具有良好的可運行性、可管理性，能夠滿足未來發展和新技術的應用，另外作為整個網絡的交換中心，在保證高性能、無阻塞交換的同時，還必須保證穩定可靠的運行。

　　因此在網絡中心的設備選型和結構設計上考慮整體網絡的高性能和高可靠性。

　　樓宇之間采用1000M光纖，保證骨干網絡的穩定可靠，不受外界電磁環境的干擾，覆蓋距離大，能夠覆蓋全部校園。在樓宇內部采用超5類雙絞線，其連接狀態100m的傳遞距離能夠滿足室內布線的長度要求。

　　2)網絡三層結構設計

　　校園網網絡整體分為三個層次：核心層、匯聚層、接入層。為實現校區內的高速互聯，核心層由1個核心節點組成;匯聚層設在每棟樓上，每棟樓設置一個匯聚節點，匯聚層為高性能“小核心”型交換機;接入層為每個樓的接入交換機，是直接與用戶相連的設備。

　　3)VLAN的劃分及IP地址的分配

　　采用VLAN技術對整個網絡進行集中管理，能夠更容易地實現網絡的管理性。例如，在添加、刪除和移動網絡用戶時，不用重新布線，也不用直接對成員進行配置。VLAN提供的安全機制，可以限制用戶對安全設備的訪問，例如，限制普通用戶對計費服務器，安全交換機等的訪問。VLAN控制廣播組的大小和位置，甚至鎖定網絡成員的MAC地址，這樣，就限制了未經安全許可的用戶和網絡成員對網絡的使用增強網絡管理。一般的VLAN劃分規則：各組辦公室、各為一個VLAN;所有教室、圖書館各為一個VLAN;同類實驗室、計算機房各自劃分VLAN;體育館為一個VLAN;服務器組為一個VLAN。各VLAN之間不能互訪，只能上網;教務處可以訪問教室的VLAN?？紤]冗余設計、擴展需求和網絡升級。

　　4)物理/鏈路層配置原則

　　物理/鏈路層配置遵循下面的原則：

　　網絡設備互連的物理端口都應該綁定端口的速率和全雙工模式; 所有的VLAN都不穿透核心層，所有的VLAN都將在匯聚層交換機上終結;不啟用STP生成樹協議，由于所有的VLAN都已在匯聚層交換機終結，在二層上并沒有環路存在，故無必要啟用;如果開啟基于每個VLAN的生成樹協議，廣播報文將會很多，影響核心交換機性能和網絡收斂時間;所有核心層和匯聚層交換機之間的互連端口均設置為Trunk模式，但只容許互連VLAN通過，以應付將來有VLAN穿越核心層這種情況;匯聚層交換機和接入交換機之間的互連端口設置為Trunk模式。

　　2、網絡安全

　　1)網絡安全

　　校園網的安全威脅主要來源于兩大塊，一塊是來自于網內，一塊來自于網外。來源于網內的威脅主要是病毒攻擊和黑客行為攻擊。根據統計，威脅校園網安全的攻擊行為大概有40%左右是來自于網絡內部，防范來自于內部的攻擊是校園網網絡安全防護體系需要重點關注的地方。計算機網絡安全受到的威脅包括：

　　“黑客”的攻擊;計算機病毒;拒絕服務攻擊(Denial of Service Attack)。安全威脅的類型：

　　非授權訪問。指對網絡設備及信息資源進行非正常使用或越權使用等。如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉借他人或與別人共享。

　　冒充合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權限，以達到占用合法用戶資源的目的。

　　破壞數據的完整性。指使用非法手段，刪除、修改、重發某些重要信息，以干擾用戶的正常使用。

　　干擾系統正常運行，破壞網絡系統的可用性。指改變系統的正常運行方法，減慢系統的響應時間等手段。這會使合法用戶不能正常訪問網絡資源，使有嚴格響應時間要求的服務不能及時得到響應。

　　病毒與惡意攻擊。指通過網絡傳播病毒或惡意Java、active X等，其破壞性非常高，而且用戶很難防范。

　　軟件的漏洞和“后門”。軟件不可能沒有安全漏洞和設計缺陷，這些漏洞和缺陷最易受到黑客的利用。另外，軟件的“后門”都是軟件編程人員為了方便而設置的，一般不為外人所知，可是一旦“后門”被發現，網絡信息將沒有什么安全可言。如Windows的安全漏洞便有很多。

　　電磁輻射。電磁輻射對網絡信息安全有兩方面影響。一方面，電磁輻射能夠破壞網絡中的數據和軟件，這種輻射的來源主要是網絡周圍電子電氣設備產生的電磁輻射和試圖破壞數據傳輸而預謀的干擾輻射源。另一方面，電磁泄漏可以導致信息泄露。

　　2)網絡安全防范措施

　　在不改變原有網絡結構的基礎上實現多種信息安全，保障校園內部網絡安全，采用網絡殺毒軟件、防火墻設備來進行安全防范。

　　3、網絡管理

　　網絡管理就是指監督、組織和控制網絡通信服務以及信息處理所必需的各種活動的總稱。

　　1)網絡管理的內容

　　網絡故障管理;

　　網絡配置管理;

　　網絡性能管理;

　　網絡計費管理;

　　網絡安全管理。

　　2)網絡管理的手段

　　采用網絡管理軟件進行網絡管理，軟件采用組件化結構設計，通過安裝不同的業務組件實現了設備管理、VPN監視與部署、軟件升級管理、配置文件管理、告警和性能管理等功能。支持多種操作系統平臺，并能夠與多種通用網管平臺集成，實現從設備級到網絡級全方位的網絡管理。

　　4、網絡安全策略配置

　　1)安全接入和配置

　　在物理(控制臺)或邏輯(telnet)端口接入網絡基礎設施設備前必須通過認證和授權限制，從而為網絡基礎設施提供安全性。

　　2)拒絕服務的防止

　　網絡設備拒絕服務攻擊的防止主要是防止出現TCP SYN泛濫攻擊、Smurf攻擊等;網絡設備的防TCP SYN的方法主要是配置網絡設備TCP SYN臨界值，若多于這個臨界值，則丟棄多余的TCP SYN數據包;防Smurf攻擊主要是配置網絡設備不轉發ICMP echo請求(directed broadcast)和設置ICMP包臨界值，避免成為一個Smurf攻擊的轉發者、受害者。

　　3)訪問控制

　　允許從內網訪問城域網，端口全開放。

　　允許從公網到DMZ(非軍事)區的訪問請求：WEB服務器只開放80端口，mail服務器只開放25和110端口。

　　禁止從公網到內部區的訪問請求，端口全關閉。

　　允許從內網訪問DMZ(非軍事)區，端口全開放

　　允許從DMZ(非軍事)區訪問internet，端口全開放

　　禁止從DMZ(非軍事)區訪問內網，端口全關閉

　　5、電源系統

　　為保證網絡系統的安全運轉及電源發生故障時重要數據的儲存,配置具有高可靠性的UPS電源。

　　6、綜合布線系統

　　系統滿足現在和未來的通信網絡應用需要，具有20年使用生命周期。綜合布線系統(PDS，PremisesDistribution System)是一套開放式的布線系統，可以支持幾乎所有的數據、語音設備及各種通信協議，同時，由于PDS充分考慮了通信技術的發展，設計時有足夠的技術儲備，能充分滿足用戶長期的需求，應用范圍十分廣泛。而且結構化綜合布線系統具有高度的靈活性，各種設備位置的改變，局域網的變化，不需重新布線，只要在配線間作適當布線調整即可滿足需求。結構化綜合布線一般劃分為六個子系統。

　　工作區子系統(Work Area)

　　工作區子系統，是由RJ-45跳線與信息插座所連接的設備組成。信息點由標準RJ45插座構成。信息點數量應根據工作區的實際功能及需求確定，并預留適當數量的冗余。例如：對于一個辦公區內的每個辦公點可配置2～3個信息點，此外應為此辦公區配置3～5個專用信息點用于工作組服務器、網絡打印機、傳真機、視頻會議等。

　　工作區的終端設備(如：電話機、傳真機)選用超五類雙絞線直接與工作區內的每一個信息插座相連接，或用適配器(如ISDN終端設備)、平衡/非平衡轉換器進行轉換連接到信息插座上。

　　配線子系統(Horizontal)

　　配線子系統，是從工作區的信息插座開始到管理間子系統的配線架。選擇配線子系統的線纜，要根據建筑物內具體信息點的類型、容量、帶寬和傳輸速率來確定。在配線子系統中采用的雙絞電纜及光纖。

　　雙絞線水平布線鏈路中，水平電纜的最大長度為90m。若使用100ΩUTP雙絞線作為配線子系統的線纜，可根據信息點類型的不同采用不同類型的電纜。該方案選擇安普公司的超五類非屏蔽雙絞線纜。

　　干線子系統(Backbone)

　　干線子系統，負責連接管理子系統到設備間子系統的子系統。干線子系統可以使用的線纜主要有：HAY三類大對數電纜;超五類或六類雙絞線;室內單模或多模光纖。

　　垂直干線子系統由連接主設備間至各樓層配線間之間的線纜構成。其功能主要是把各分層配線架與主配線架相連。用主干電纜提供樓層之間通信的通道，使整個布線系統組成一個有機的整體。垂直干線子系統Topology結構采用分層星型拓撲結構，每個樓層配線間均需采用垂直主干線纜連接到大樓主設備間。垂直主干線纜和水平系統線纜之間的連接需要通過樓層管理間的跳線來實現。

　　設備間子系統(Equipment Room)

　　設備間子系統，由電纜、連接器和相關支撐硬件組成。采用BIX跳接式配線架，連接交換機;采用光纖終結架連接主機及網絡設備。設備間的主要設備有數字程控交換機、計算機網絡設備、服務器、樓宇自控設備主機等等。它們可以放在一起，也可分別設置。在較大型的綜合布線中，可以將計算機設備、數字程控交換機、樓宇自控設備主機分別設置機房，把與綜合布線密切相關的硬件設備放置在設備間，計算機網絡設備的機房放在距離設備間不遠的位置。

　　設備間子系統是一個集中化設備區，連接系統公共設備，如局域網(LAN)、主機、建筑自動化和保安系統，及通過垂直干線子系統連接至管理子系統。

　　管理子系統(Administration)

　　管理子系統，由交連、互連和I/O組成。管理是針對設備間、電信間和工作區的配線設備、纜線等設施，按-定的模式進行標識和記錄的規定。跳線采用超5類非屏蔽雙絞線，RJ45接頭。管理間是樓層的配線間，管理子系統為其他子系統互連提供手段，它是連接垂直干線子系統和水平干線子系統的設備。管理子系統由交連、互連和輸入/輸出組成，實現配線管理，為連接其它子系統提供手段。包括配線架、跳線設備及光配線架等組成設備。設計管理子系統時,必需了解線路的基本設計原理,合理配置各子系統的部件。

　　建筑群子系統(Campus Subsystem)

　　建筑群子系統是實現建筑之間的相互連接，提供樓群之間通信設施所需的硬件。建筑群之間可以采用有線通信的手段，也可采用微波通信、無線電通信的手段。傳輸介質采用室外六芯多模光纖。

　　建筑群子系統介質選擇原則：樓和樓之間在二公里以內、傳輸介質為室外光纖、可采用埋入地下或架空(4M以上)方式、需要避開動力線、注意光纖彎曲半徑建筑群子系統施工要點：包括路由起點、終點;線纜長度、入口位置、媒介類型、所需勞動費用以及材料成本計算。建筑群子系統所在的空間還有對門窗、天花板、電源、照明、接地的要求。

　　進線間子系統

　　進線間每一個建筑物設置1個，一般位于地下層，外線宜從兩個不同的路由引入進線間，有利于與外部管道溝通。進線間與建筑物紅外線范圍內的人孔或手孔采用管道或通道的方式互連。進線間因涉及因素較多，難以統-提出具體所需面積，可根據建筑物實際情況，并參照通信行業和國家的現行標準要求進行設計。

　　7、防雷系統1)防雷防浪涌

　　實施防雷工程主要就是要保證機房設備安全運行，保證計算機網絡的傳輸質量，在各點進行不同等級的防雷保護。根據辦公樓的實際情況，提出以下防雷措施：

　　對信息中心機房進行全方位的防雷接地保護;

　　對機房等進行全方位的防雷接地保護;

　　對室外設備、終端進行電源、視頻、控制線路進行全面保護;對其它區域進行普通電源保護。2)電源系統防雷我們將電源系統防雷分成三級來設計。三級防雷原理如下：

　　雷電流能量大一般在≈200KA、電壓高達≈10000V、頻率高≈800M-1G、通過時間短≈8/12μs一般的空氣開關，保險絲、穩壓設備等是無法防護的。所以必須加裝避雷針、帶、網防御直擊雷，內部加裝三級高反應速度的防止感應雷瀉放設備。分流感應到線路的雷電流將雷電限制在1000V以下。

　　具體三級電源防護措施如下：

　　第一級：作為主級電源防雷設備根據 IEC 61312-3《雷電電磁脈沖的防護 第三部分 過電壓保護裝置的要求》防雷設備瀉放電流在150-100KA，限制電壓在2800V-2500V以內。

　　具體措施：在大樓總配電柜處加裝電源防雷模塊做為大樓的第一級電源防雷。

　　第二級：次級電源防雷要求防雷設備瀉放電流在70-40KA，限制電壓在1800-1500V以內。

　　具體措施：在中心機房配電箱的三相空開出線處加裝電源防雷模塊做為第二級電源防雷。

　　第三級：末級防雷要求防雷設備瀉放電流在40-20KA，限制電壓在1000-600V以內。

　　具體措施：在中心機房配電箱的單相空開出線處加裝電源防雷模塊做為第三級電源防雷，另外在綜合布線配線間電源線路進入端串聯加裝抗浪涌電源插座。

　　3)通訊線路雷電防護

　　通訊、信號主要是通過電信部門通訊線路連接到設備端，進行網絡通訊。通訊線路大多是掛空線纜，內部網絡系統各通訊點的連接大多也是掛空雙絞線線纜。根據IEC 61312-1《雷電電磁脈沖的防護 第一部分 通則》中提供的模擬公式可進行估算：高約4米長50米的掛空電纜在一公里雷擊范圍內線路感應電壓約為800V。所以在通訊線路的入戶端，出戶端必須加裝防雷設備。

　　主要保護對象為信息中心機房

　　具體措施:對于采用光纖通信的線路可以不另外加裝防雷器,只需在光纖入戶端將光纖內的鋼筋做良好接地即可。但應考慮到做為備份通信的其它線路,對非光纖的通訊線路做防雷保護是有必要而且是必需的?？稍趯＞€通訊線路入戶端加裝通訊專線防雷器。

　　4)機房內部防雷輔助措施

　　為了保證在機房內的工作人員不受靜電及電磁脈沖的危害，需在靜電地板下做均壓網，且均壓網與接地做良好的連接。使整個機房內地板的電位一致。

　　需將靜電地板下方的支撐鋼架與均壓網做良好的電氣連接，使靜電地板上積累的電荷有良好的瀉放通道。

　　將機房內所有需要接地的設備的金屬表面與均壓網匯流排做良好的電氣連接。

　　8、接地系統1)機房獨立接地要求　　根據《電子計算機機房設計規范-GB 50174-2008》中對接地的要求：交流工作接地、安全保護接地、防雷接地的接地電阻應≤4歐，本設計的接地電阻≤2歐，以提高安全性和可靠性。機房設獨立接地體接地網，要求接地樁距離大樓基礎15-20米。2)機房接地系統　　計算機接地系統是為了消除公共阻抗的合，防止寄生電容偶合的干擾，保護設備和人員的安全，保證計算機系統穩定可靠運行的重要措施。如果接地與屏蔽正確的結合起來，那么在抗干擾設計上最經濟而且效果最顯著的一種，因此，為了能保證計算機系統安全，穩定、可靠的運行，保證設備人身的安全，針對不同類型計算機的不同要求，設計出相應的接地系統。機房接地類型一般分為以下幾種：

　　交流工作接地 ;

　　計算機系統的弱電接地;

　　安全保護接地;

　　防雷保護接地(處在有防雷設施的建筑群中可不設此地)。

　　若大樓有共用接地系統，機房交流工作接地和計算機系統的弱電接地設獨立接地網，由機房接地網直接引線至機房，引線為大于95mm2銅芯絕緣導線，中間不能裸露，接地電阻小于1歐姆。

　　在計算機系統的弱電接地系統中，機房內部采用網格接地方式，就是把一定截面積的銅線或銅帶在架空地板下交叉排成1800MM*1800MM的方格，交點處壓接在一起。網格接地方式不僅有助于更好的保證邏輯電路電位參考點的一致性，而且大大提高了計算機系統的抑制內部噪聲和外部干擾的能力。

　　9、擴展性考慮

　　1)首先是網絡設備擴展方面

　　每個核心、匯聚設備都應該考慮端口的可擴展性，本方案對每個設備都有預留端口，以適應將來網絡可能發生的變化。

　　2)其次是網絡接入的可擴展性

　　路由器支持VPN并且考慮到校區會更大地擴展，我們選擇支持VPN的路由器。

　　3)IP地址的預留

　　在每間教室都應有剩余的IP地址，以適應將來主機增多的需求，還有公有IP地址段的預留(擴展校區使用)。

　　無線網絡建設對于有條件的學校，針對有線計算機網絡，應提供WIFI的大部分覆蓋，以支持教職員工及學生移動辦公及學習，提高科技學校的支持基礎。利用無線網絡技術進一步擴展校園網的覆蓋范圍，使全校師生能夠隨時隨地、方便高效地使用校園網絡;促進教學和科研發展，進一步拓展研究空間，為大型科研活動和無線網絡技術研究提供無線網絡實驗環境;提升校園網絡環境，提高管理水平和效率，推動學校信息化建設。由于本工程是在校園有線網的基礎上加以無線擴充(即采用AP將無線網絡接入到有線網絡)，目前校園有線網已達到了相當的覆蓋范圍，可以為無線網絡的建設提供支持。覆蓋范圍要求：有線網絡無法接入的室外場所：校園內一些場所很難實現網絡有線接入，采用無線方式可以實現覆蓋大范圍室外空間的無線網絡接入。主要包括圖書館前、后面廣場，籃球場等等;有線網絡使用不便或受限的室內空間：用無線網絡覆蓋來解決相當數量的移動設備同時訪問網絡的問題。主要包括各會議室，大教室，圖書館閱覽室和大廳等;

　　1、建設目標1)解決信息點流動的問題;一般來說，如教室、圖書館、會議室等地方一般是不可能布設太多信息點的，但是隨著教師、學生智能手機、筆記本電腦等終端的普及和現代化教學的需要，往往在同一時刻有大量的電腦在上述場所出現，進行網上教學和活動，但目前的有線校園網沒有辦法使學生們在這些區域實現同時上網功能。而采用無線方式，在有限的信息點上連接無線接入器，就可輕松從一個信息點擴展到成百上千個信息點，實現多臺電腦同時上網。2)解決難以布線的問題;在實驗室、體育館、禮堂等地方是不宜布線的，但有時對工作的電腦卻有上網的需求，采用無線局域網，可以簡化在這些區域的網絡實施，提供直徑近2公里的無線網絡覆蓋，用戶就可在無線所覆蓋的區域移動的應用。3)極大提高教學效率;教師和學生在上課的時候不必在往返于圖書館、辦公室、教室、宿舍，采用無線方案可以使老師和同學們在上述地方隨意的檢索圖書館的網上資料、服務器的教案、寢室電腦里的作業。同時，為用戶對校園網的其他資源的應用提供了更便利的條件，提高了資源的利用率。4)有效降低建網成本;一般來說，AP(無線接入點)可以使原來的一個信息點同時接入數十乃至數百個用戶，設備和布線的投資以及維護成本大大降低。

　　2、無線網絡覆蓋室內無線局域網主要針對不方便進行大規模布線或不宜布設太多信息點的建筑，如：圖書館、辦公大樓、網絡教室、會議室和報告大廳等。

　　典型無線校園網絡整體解決方案如下：

　　建網后，師生們在使用無線網時也極其方便，用戶只需將無線終端設備經過簡單的調試就可以輕松上網了，而且，沒有線纜限制，用戶可以在這些區域自用漫游。下面將分別介紹不同環境下無線局域網的組建形式。

　　1)大型建筑無線網絡解決方案

　　針對難以進行全面布線的禮堂、圖書館等，學?？梢岳靡呀洿嬖诘挠芯€網絡接口，輕松解決無線局域網的安裝布設?？梢苑奖?、快捷地擴展信息接入點密度，實現移動辦公。

　　具體拓撲展示圖如下：

　　該方案的特點是可以充分利用智能無線AP的性能，使整個網絡可以支持數百用戶同時安全、穩定的使用。圖中根據不同區域的網絡應用，按照蜂窩狀布設多個無線接入點(AP)。每個AP可以承擔254個用戶同時上網，從實際11M數據傳輸網絡利用率考慮，推薦布設稍微密集的AP，可以承受較多用戶同時上網的要求，而不至于網絡堵塞，AP間的間距大約在50-200米之間。AP可以放在天花板、墻壁等地方，遵從的原則就是AP在視線以內，并盡可能在無線用戶的中心位置。如此，信號發射接收強，用戶無線連接質量高。AP之間可以做到負載均衡，相互冗余，并且通過自動適應頻道或動態調整功率使得密集的AP之間避免了相互干擾。

　　AP通過普通的超五類雙絞線與交換機相連，再將交換機的另一端與教室內已經布好的網絡接口相連與校園網連通。每個AP可以有一個固定的IP地址做網管應用，與用戶的IP地址無關。校園網服務器端如果啟用DHCP服務功能，那么用戶就可以通過DHCP服務器自動獲取IP地址，無需要任何配置就可以連接校園網，從而避免了繁瑣的網絡屬性設置。

　　(1)校園中有些樓宇不是很空曠、有較多的墻壁、如果采用樓內覆蓋會用到大批量的AP，造成成本上的不經濟,如普通教室、宿舍、辦公室、實驗室等;

　　(2)對于較大面積的運動場、花園、草坪;

　　該方案的特點是通過放大器對發射信號增大，通過天線對信號聚集。從而使覆蓋范圍更大、更遠;穿透能力更強。只用一套設備就可以覆蓋較大空曠場所;或覆蓋一棟教學樓(辦公樓);AP通過雙絞線與校園骨干網相連。但如果設備出現問題會造成所覆蓋區內不能使用無線網絡;所以設備的選擇上要求更高、更穩定。

　　師生可以帶上有無線網卡的移動終端，無論是在運動場所、休閑草坪、教學樓、辦公樓都可以自由的訪問校園網絡、教育城域網和Internet。真正的實現了移動教學、辦公、娛樂!讓校園生活變得更加精彩。

　　2)普通建筑無線網絡的解決方案

　　校園中大多數場合如普通教室、宿舍、辦公室、實驗室等，可以直接將普通型AP接入校園網的以太網端口，作為有線網絡的補充。

　　如下圖所示：

　　不同樓層網絡的布設情況如下圖所示，采用多個無線接入點(AP)，每個AP可帶30個左右的用戶，AP間距可以根據各樓層的實際結構和無線節點的數量和分布情況而定。在樓道或房間中布置若干個AP，以實現上網區域都可以被無線信號完全覆蓋為標準，這樣可以承受較多用戶同時上網的要求時，而不至于使網絡堵塞或者癱瘓。AP的放置與無線客戶端盡可能視線以內為原則，可以放在天花板、墻壁等地方，這樣可以盡可能地覆蓋其中所有無線用戶區域。

　　每個AP通過普通的五類雙絞線與交換機相連，再將校園骨干網與樓內已經布好的交換機接口相連，就可以與校園網連通。每個AP都應該有一個固定的IP地址，只做網管使用，與無線用戶端IP無關。校園網服務器端如果啟用DHCP服務功能，那么用戶的IP地址就可以通過自動獲取選項獲取IP地址，從而避免了繁瑣的網絡屬性設置。

　　3、無線網絡組網

　　無線交換機AC+瘦AP的集中式管理架構通過集中管理、簡化AP、端到端的通訊提供更強的安全性;更加智能的無線帶寬管理;更高效的無線安全策略管理來解決傳統無線局域網中的問題。在這種構架中，無線交換機替代了原來二層交換機的位置，瘦AP取代了原有的企業級AP。通過這種方式，就可以在整個企業范圍內把安全性、移動性、QoS和其他特性集中起來管理。

　　4、網絡用戶與應用管理

　　嚴謹的帶寬限制

　　系統具有上行下行帶寬控制功能，對用戶上網帶寬使用做到標準而嚴謹的限制。

　　解決學校問題：控制學生惡意搶占帶寬，有效防止BT等對線程下載軟件，保證網絡運行正常次序。

　　詳細的上網記錄

　　系統具有上網日志服務，可以記錄所有用戶上網訪問記錄，并且可以根據相應的要求進行數據分析。

　　移動的管理平臺

　　系統管理客戶端以web方式提供，無需安裝其他輔助工具，只要有web瀏覽器就可對系統進行管理。

　　解決學校問題：學校網絡中心老師即使回到家中或者出差在外，只要有網絡在便可完全掌握校園無線網絡運營情況。

　　5、無線網的安全系統

　　無線局域網絡主要服務于學校的教師與學生，屬于一種小規模的公眾型網絡，可能會由于學生出于技術的研究興趣，出現對網絡發起各種各樣的攻擊行為，此時網絡安全問題在建網時必須考慮問題，安全方式主要側重幾個方面：用戶安全、網絡安全，而在校園網絡中主要依附于用戶實體的屬性主要包括用戶使用的信息終端二層屬性(諸如：MAC地址)及用戶的帳號、密碼，而對于學校學生用戶來，帳號信息都是一個實名原則，與學生的學藉進行關聯的，這樣無線網絡中著重考慮使用無線網絡的空口信息的安全機制，同時也考慮與無線相關的有線網絡的安全問題。

　　有無線網絡安全部分主要包括以下方面的內容：

　　1)MAC地址過濾：目前AP都支持基于MAC地址的過濾，限制具有某種類型的MAC地址特征的終端才能進入網絡中，對于中大規模網絡時，使用MAC地址過濾時操作起來具有較大的難度，主要原因是：MAC地址的規律性不大，所有的AP都要進行配置;

　　2)SSID管理：是一種網絡標識的方案，將網絡進行一個邏輯化標識，對終端上發的報文都要求進行上帶SSID，如果沒有SSID標識則不能進入網絡;

　　3)WEP加密：WEP加密是一種靜態加密的機制，通信雙方具有一個共同的密鑰，終端發送的空口信息報文必須使用共同的密鑰進行加密。